Gli smart locker e i ruoli privacy: pluralità di tesi a confronto

Chiara Ponti
Responsabile Sezione Artificial Intelligence

Avvocato nel settore della Data Protection & Cybersecurity. Si occupa da tempo e in modo particolare di Compliance integrata nel settore delle tecnologie emergenti.
Giulia Verroia
Giurista, esperta in materia di protezione dei dati e sicurezza informatica, auditor, trainer aziendale, Privacy Officer e DPO certificata. Da tempo si occupa della security and data protection compliance e negli anni ha maturato esperienze e competenze anche nell’ambito degli appalti e della normativa per la Pubblica Amministrazione. Attualmente è il Privacy Manager del CSI Piemonte.

Abstract

Gli smart locker già da anni posizionati nei centri commerciali, negozi, bar e tabaccherie, nonché dislocati sulla pubblica via in più punti della città, quale espressione di una smart city all’avanguardia, approdano anche nei contesti lavorativi. Tali Organizzazioni tanto evolute quanto attente al benessere aziendale, nell’installare gli armadietti automatici-intelligenti cd “smart locker” non devono inciampare sulla compliance privacy. Di qui, occorre interrogarsi dunque sui ruoli che gli ipotetici soggetti coinvolti in questo scenario, possono rivestire. Vediamo quali e con che spirito questi strumenti possono, oggi e nel prossimo futuro, “arginare il digitale”, intendendoci bene sul suo significato.

Smart locker: cosa sono

Gli smart locker sono “armadietti automatici-intelligenti” connessi al famoso mondo dell’Internet Of Things cd “IoT” (Internet delle Cose o meglio degli oggetti), attraverso i quali è possibile gestire le spedizioni per poter ricevere i propri pacchi, senza che sia necessaria la presenza fisica del destinatario.

Per il vero, si tratta di una prassi esplosa dal 2020, anno in cui un’assurda pandemia ha caratterizzato una altrettanto surreale situazione emergenziale, approdando anche in Italia. D’altronde, in quel periodo ricorderemo tutti le restrizioni, per cui gli acquisti on-line hanno subito evidentemente un incremento senza precedenti, garantendo a tutti noi l’approvvigionamento di beni di consumo, oltre che quelli di prima necessità. A emergenza per fortuna conclusa, come se ci fossimo posizionati tutti su un punto di non ritorno, ecco che gli acquisti on-line hanno assunto un ruolo sempre maggiore.

In una società eminentemente digitale dove le compravendite on-line risultano sempre più elevate rispetto a quelle nei negozi “cd di prossimità”, è verosimile pensare che gli operatori dei servizi di consegna pacchi ancorché costituiscano l’ultimo anello del processo attraverso il quale si perfeziona il contratto di acquisto di un bene on-line, nel medio-lungo termine, dovranno gestire volumi di consegne via via in aumento.

Da qui, lo sviluppo di questi armadietti automatici/intelligenti – gli smart locker quali strumenti posti in luoghi predefiniti e che funzionano grazie all’immissione di una specifica chiave d’accesso (pin o codice a barre) che consente l’apertura del locker, il deposito del pacco, e il ritiro dello stesso da parte del destinatario/interessato, in un momento successivo rispetto a quello del deposito, senza la necessità di un intermediario fisico. Questa, in definitiva, la ratio.

Dal punto di vista operativo, in generale, si tratta di “sistemi di deposito automatizzati” che utilizzano tecnologie evolute per la consegna sicura e autonoma di oggetti, pacchi e documenti.

Tali strumenti tipicamente automatizzati sebbene siano entrati ormai a far parte della nostra quotidianità, non dovrebbero in ogni caso “cibarsi” di grandi quantità di dati come i sistemi di IA. Ciò nonostante, l’attenzione deve porsi in un’ottica in cui “arginare il digitale” oggi significa, non tanto andarvi contro – non sarebbe nemmeno possibile – ma prestarvi la massima attenzione specialmente nelle derive che potrebbero scaturire da un uso “distorto” di uno strumento automatizzato. Di qui, una corretta definizione dei ruoli si rende opportuna. Ma andiamo per gradi.

In un contesto aziendale sono, all’evidenza, strumenti di welfare che intendono agevolare il benessere dei dipendenti, consentendo loro di ricevere, presso il luogo di lavoro, pacchi privati e acquistati su internet.

Per completezza, se intesi poi anche come spazi in cui poter recapitare gli oggetti utili all’attività lavorativa, ecco che gli smart locker potrebbero far parte anche del facility management, rappresentando una soluzione innovativa che ottimizzi la gestione di spazi/accessi/servizi, con un notevole risparmio di tempo e risorse, segnando peraltro un importante “cambio di passo”, grazie all’utilizzo delle nuove tecnologie.

Smart locker tra quadro normativo e natura giuridica: brevi cenni

Il quadro normativo non è specifico. Non essendo questo il cuore del nostro contributo, ci limiteremo ad accennarlo. È bene anzitutto precisare che non esiste (ancora) una normativa ad hoc o meglio questa la si ricava da quella “…postale” (D.lgs. 261/99), ma come viene espressamente argomentato in una delibera Agcom 117/21 Cons. difetta del tutto, ad oggi, per i lockers “una disciplina giuridica specifica” e per l’effetto, “è necessario il ricorso, in via analogica, ad altre norme che regolano il settore”. Di qui, per soddisfare il cd “ultimo miglio”, attraverso i lockers si perfeziona l’attività di consegna che, in quanto tale, ricade nell’ambito della regolamentazione postale.

Più nel dettaglio, sotto il profilo dell’attività svolta, come da Allegato A della sovra citata delibera, “considerando partitamente l’attività di consegna e quella di accettazione, risulta evidente l’analogia, rispettivamente, con le cassette domiciliari o con le caselle postali ovvero casellari privati”, prevedendo specie per questi ultimi un regime di “autorizzazione ad effetto immediato”, semplificando il tutto.

Smart locker e la compliance GDPR con focus sui ruoli privacy

Gli smart locker presentano implicazioni interessanti dal punto di vista della compliance privacy. Quando si vogliono ubicare e quindi (far) utilizzare dai propri dipendenti degli smart locker all’interno di una Organizzazione, è pacifico che vengano raccolti dati personali, e quindi sorge l’obbligo di una compliance privacy al Regolamento (UE) 2016/679 – GDPR.

Tra gli aspetti chiave da considerarsi rientrano senz’altro domande del tipo:

“quali dati vengono raccolti?” Gli smart locker devono essere in grado di raccogliere diversi tipi di dati personali (dal nome utente, al numero di matricola – dato che risponderebbe a una logica di pseudononimizzazione – , ecc.);
“quale è la base giuridica per il trattamento dei dati?” Occorre avere un presupposto di legittimità valido e coerente con l’intero impianto normativo e non solo, al fine di poter trattare i dati personali. Nel contesto che ci occupa, possibili basi giuridiche potrebbero essere il consenso dell’utente o l’esecuzione del contratto, nonché il legittimo interesse ancorché residuale (Considerando 47);
“come minimizzare i dati?” Principio cardine, per il quale è possibile oltre che importante, raccogliere “solo i dati personali strettamente necessari” per il funzionamento del servizio di smart locker, così evitando dati non strettamente funzionali;
“quali misure di sicurezza dei dati?” Implementare le misure di sicurezza è senz’altro la prima buona regola. Queste devono essere adeguate al fine di proteggere i dati personali memorizzati e gestiti dagli smart locker (accesso controllato, protezione robusta dagli attacchi informatici, ecc.);
“quale trasparenza garantire?” L’informativa è un must, la quale deve essere resa agli utenti in modo chiaro e trasparente contenente tutte le informazioni circa i dati raccolti, come vengono utilizzati e per quanto tempo sono conservati, indicando agli utenti, un modo semplice per esercitare i propri diritti, dall’accesso, alla rettifica e non di meno alla cancellazione dei propri dati.

Ancora, volendo fornire anche un contributo dal taglio pratico, non possono mancare delle “Raccomandazioni” in termini di compliance, e in particolare si dovrà:

redigere una efficace policy nella quale, in ottica di accountability, il Titolare del trattamento regolamenta la gestione dell’attività di trattamento che deriva dal servizio di smart locker, secondo i principi di privacy by design e by default (art. 25)
condurre un’eventuale valutazione di impatto sulla protezione dei dati – DPIA (art. 35), laddove il trattamento dei dati personali effettuato dagli smart locker dovesse presentare un “rischio elevato” per i diritti e le libertà degli utenti;
formare e istruire gli autorizzati che gestiscono questo tipo di servizio;
scegliere fornitori, anche secondo quanto stabilito nella procedura di gestione dei fornitori ove presente e così come richiesta dalla ISO 9001, che siano affidabili e che rispettino la privacy grazie anche all’uso di misure di sicurezza adeguate (art. 32).

Ciò posto, veniamo ora alla corretta individuazione dei ruoli privacy. Premesso che gli scenari potrebbero essere molteplici dal momento che gli smart locker vengono adoperati in diversi contesti (dai centri commerciali ai locali aziendali, per non considerare tutti quegli armadietti automatici/intelligenti che si possono trovare nei condomini, negli esercizi/centri commerciali se non anche nelle pubbliche vie), qui ci limiteremo a trattare degli smart locker situati all’interno di una Organizzazione.

Anzitutto, come detto in principio, rientra nella politica di welfare composta da più o meno servizi in favore del dipendente, al fine di garantirgli un benessere che risiede, in quest’ottica, nell’opportunità di ricevere dei pacchi personali.

In secondo luogo, con la lente della data protection, la presenza di smart locker richiede la disamina di una pluralità di aspetti:

chi fa che cosa, imponendosi una corretta individuazione dei ruoli privacy;
perché lo si fa, richiedendo la specificazione delle finalità con annesse basi giuridiche;
come lo si fa, dovendo individuare tutta una serie di misure di sicurezza adeguate;
quando lo si fa, vale a dire quando il titolare tratta dati (per es. assegnazione delle credenziali di accesso)

Smart locker e le due tesi a confronto: il fornitore è responsabile o titolare (autonomo)?

Per rispondere a questa domanda, occorre anzitutto ipotizzare lo scenario che vede recapitare in un’Organizzazione, un pacco del dipendente, ordinato su una piattaforma di e-commerce, contenente un oggetto che nulla ha a che vedere con la propria attività lavorativa. Ecco che, mentre è verosimile – a parere di chi scrive – che l’Organizzazione sia un Titolare del trattamento in quanto stabilisce finalità e parte di mezzi (art. 24), e il dipendente sia l’interessato, occorre chiedersi che ruolo, in punto privacy, rivesta il fornitore del servizio di smart locker.

TESI A: il fornitore degli smart locker è responsabile ai sensi e per gli effetti di cui all’art. 28 secondo le Clausole Contrattuali Tipo (come da Decisione di esecuzione 915/21 GU UE)

A sostegno di questa tesi vengono in luce taluni importanti elementi:

si tratta di un servizio messo a disposizione dall’Organizzazione e quindi pagato dalla stessa, nonché ubicato in appositi locali aziendali, meglio se prima dell’accesso ai tornelli per evitare ulteriori trattamenti dati, dei possibili vettori addetti alla consegna dei pacchi, da inserire nello smart locker;
i dati personali sono dei dipendenti, ove possibile e per ragioni di accountability, minimizzati nel loro utilizzo se non anche pseudononimizzati, ricorrendo ad esempio al numero di matricola;
il fornitore oltre a fornire materialmente gli armadietti nel numero prescelto dall’Organizzazione a seconda delle esigenze e opportunità, potrebbe mettere a disposizione una piattaforma web o un’App e quindi un servizio informatico in cloud in grado di tracciare/memorizzare a più livelli previa stipula di un accordo sindacale nel rispetto dell’art. 4 dello Statuto dei lavoratori (D.lgs. 300/70), sulla base anche di come è stato progettato (privacy by design e by default – art. 25), i dati di accesso agli smart locker.

Ne consegue che in questa ricostruzione fattuale, il fornitore del servizio così reso sia da ritenersi un responsabile del trattamento previo accordo o altro atto giuridico ai sensi e per gli effetti di cui all’art. 28, dal momento che tratta dati personali secondo le istruzioni date dal titolare, con l’onere da un lato di implementare misure di sicurezza adeguate al fine di proteggere i dati personali; e dall’altro di assistere il titolare del trattamento nell’adempimento dei suoi obblighi privacy (art. 28, par. 3, h).

TESI B: il fornitore degli smart locker è un titolare (autonomo) del trattamento

A sostegno di questa seconda tesi, si potrebbero invece portare le seguenti argomentazioni:

il fornitore del servizio di smart locker decide in modo del tutto autonomo in merito alle finalità e le modalità del trattamento dei dati dei fruitori del servizio, agisce con un grado significativo di indipendenza, senza alcuna istruzione da parte dell’Organizzazione, e decide ad esempio quali dati utilizzare, con che strumenti (piattaforma web, app, cloud, ecc.), quali misure di sicurezza applicare e per quanto tempo i dati devono essere conservati;
l’Organizzazione non è in grado di influire sulle finalità e sui mezzi del trattamento dati, svolto dal fornitore del servizio, né di esercitare alcun controllo sull’attività e quindi di fornire “istruzioni” in merito al trattamento dei dati personali;
il fornitore raccoglie i dati personali in modo autonomo 4 indipendente, direttamente dagli stessi dipendenti che intendono utilizzare il servizio messo a disposizione dall’Organizzazione nell’ambito del welfare aziendale;
anche se il trattamento dati ha luogo a seguito di una richiesta. da parte dell’Organizzazione, di prestazione del servizio di smart locker non è destinato specificatamente al trattamento di dati: in pratica, l’attività di trattamento dati non essendo un elemento essenziale del servizio, ma (meramente) accessoria (si veda l’esempio del taxi, di cui alle linee guida EDPB 07/2020 sui concetti di titolare e responsabile del trattamento ai sensi del GDPR -par. 82).

È pertanto la natura del servizio di smart locker che, nel caso di specie, porta a stabilire che non possa essere un trattamento dati svolto “per conto” di una Organizzazione, bensì un trattamento dati svolto dal fornitore quale titolare (autonomo) del trattamento.

Conclusioni

Qualunque sia la tesi ritenuta più appropriata in base alle specificità del servizio, al di là di ogni altra considerazione che meriterebbe ulteriori approfondimenti, è sempre bene analizzare nel dettaglio il contesto di riferimento. Solo così potrà dirsi soddisfatta una robusta accountability.

Indice

Abstract
Smart locker: cosa sono
Smart locker tra quadro normativo e natura giuridica: brevi cenni
Smart locker e la compliance GDPR con focus sui ruoli privacy
Smart locker e le due tesi a confronto: il fornitore è responsabile o titolare (autonomo)?
Conclusioni

PAROLE CHIAVE: nuove tecnologie / ruoli privacy / smart locker

Tutti i contenuti presenti in questa rivista sono riservati. La riproduzione è vietata salvo esplicita richiesta e approvazione da parte dell’editore Digitalaw Srl.
Le foto sono di proprietà di Marcello Moscara e sono coperte dal diritto d’autore.

Cookie	Tipo	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1	11 months 29 days 23 hours 59 minutes	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category ''Advertisement''.
cookielawinfo-checkbox-analytics	1	11 months 29 days 23 hours 59 minutes	This cookies is set by GDPR Cookie Consent WordPress Plugin. The cookie is used to remember the user consent for the cookies under the category ''Analytics''.
cookielawinfo-checkbox-necessary	0	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-non-necessary	0	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Non Necessary".
cookielawinfo-checkbox-performance	1	11 months 29 days 23 hours 59 minutes	This cookie is used to keep track of which cookies the user have approved for this site.
viewed_cookie_policy	0	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
wordpress_test_cookie	1	session	This cookie is used to check if the cookies are enabled on the users'' browser.

Cookie	Tipo	Durata	Descrizione
_ga	1	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site''s analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gat_gtag_UA_92838381_1	0	1 minute	This cookie is installed by Google Analytics. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
GPS	1	29 minutes	This cookie is set by Youtube and registers a unique ID for tracking users based on their geographical location
vuid	1	1 years 11 months 28 days 23 hours 59 minutes	This domain of this cookie is owned by Vimeo. This cookie is used by vimeo to collect tracking information. It sets a unique ID to embed videos to the website.

Cookie	Tipo	Durata	Descrizione
IDE	1	1 years 23 days 23 hours 59 minutes	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
VISITOR_INFO1_LIVE	1	5 months 26 days 23 hours 59 minutes	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.